引論:我們?yōu)槟砹?3篇防火墻技術論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。
(1)軟件防火墻。
軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統(tǒng)的支持,一般來說這臺計算機就是整個網(wǎng)絡的網(wǎng)關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。
(2)硬件防火墻。
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻,他們都基于PC架構,就是說,它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統(tǒng),最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是,由于此類防火墻采用的依然是別人的內核,因此依然會受到OS(操作系統(tǒng))本身的安全性影響。
(3)芯片級防火墻。
芯片級防火墻基于專門的硬件平臺,沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
2從防火墻技術分
防火墻技術雖然出現(xiàn)了許多,但總體來講可分為“包過濾型”和“應用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packetfiltering)型。
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網(wǎng)絡服務采取特殊的處理方式,適用于所有網(wǎng)絡服務;之所以廉價,是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能,所以這類防火墻多數(shù)是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求。
在整個防火墻技術的發(fā)展過程中,包過濾技術出現(xiàn)了兩種不同版本,稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。
包過濾方式的優(yōu)點是不用改動客戶機和主機上的應用程序,因為它工作在網(wǎng)絡層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據(jù)只是網(wǎng)絡層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會受到很大地影響;由于缺少上下文關聯(lián)信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協(xié)議;另外,大多數(shù)過濾器中缺少審計和報警機制,它只能依據(jù)包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規(guī)則時,必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網(wǎng)關配合使用,共同組成防火墻系統(tǒng)。
(2)應用(ApplicationProxy)型。
應用型防火墻是工作在OSI的最高層,即應用層。其特點是完全“阻隔”了網(wǎng)絡通信流,通過對每種應用服務編制專門的程序,實現(xiàn)監(jiān)視和控制應用層通信流的作用。其典型網(wǎng)絡結構如圖所示。
在型防火墻技術的發(fā)展過程中,它也經歷了兩個不同的版本:第一代應用網(wǎng)關型防火和第二代自適應防火墻。
類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層,所以它可以對網(wǎng)絡中任何一層數(shù)據(jù)通信進行篩選保護,而不是像包過濾那樣,只是對網(wǎng)絡層的數(shù)據(jù)進行過濾。另外型防火墻采取是一種機制,它可以為每一種應用服務建立一個專門的,所以內外部網(wǎng)絡之間的通信不是直接的,而都需先經過服務器審核,通過后再由服務器代為連接,根本沒有給內、外部網(wǎng)絡計算機任何直接會話的機會,從而避免了入侵者使用數(shù)據(jù)驅動類型的攻擊方式入侵內部網(wǎng)。
防火墻的最大缺點是速度相對比較慢,當用戶對內外部網(wǎng)絡網(wǎng)關的吞吐量要求比較高時,防火墻就會成為內外部網(wǎng)絡之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡服務建立專門的服務,在自己的程序為內、外部網(wǎng)絡用戶建立連接時需要時間,所以給系統(tǒng)性能帶來了一些負面影響,但通常不會很明顯。
3從防火墻結構分
從防火墻結構上分,防火墻主要有:單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機防火墻是最為傳統(tǒng)的防火墻,獨立于其它網(wǎng)絡設備,它位于網(wǎng)絡邊界。
這種防火墻其實與一臺計算機結構差不多(如下圖),同樣包括CPU、內存、硬盤等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計算機最主要的區(qū)別就是一般防火墻都集成了兩個以上的以太網(wǎng)卡,因為它需要連接一個以上的內、外部網(wǎng)絡。其中的硬盤就是用來存儲防火墻所用的基本程序,如包過濾程序和服務器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機一樣,因為它的工作性質,決定了它要具備非常高的穩(wěn)定性、實用性,具備非常高的系統(tǒng)吞吐性能。正因如此,看似與PC機差不多的配置,價格甚遠。
隨著防火墻技術的發(fā)展及應用需求的提高,原來作為單一主機的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個獨立的硬件實體,而是由多個軟、硬件組成的系統(tǒng),這種防火墻,俗稱“分布式防火墻”。
原來單一主機的防火墻由于價格非常昂貴,僅有少數(shù)大型企業(yè)才能承受得起,為了降低企業(yè)網(wǎng)絡投資,現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業(yè)就不用再同時購買路由器和防火墻,大大降低了網(wǎng)絡設備購買成本。
分布式防火墻再也不只是位于網(wǎng)絡邊界,而是滲透于網(wǎng)絡的每一臺主機,對整個內部網(wǎng)絡的主機實施保護。在網(wǎng)絡服務器中,通常會安裝一個用于防火墻系統(tǒng)管理軟件,在服務器及各主機上安裝有集成網(wǎng)卡功能的PCI防火墻卡,這樣一塊防火墻卡同時兼有網(wǎng)卡和防火墻的雙重功能。這樣一個防火墻系統(tǒng)就可以徹底保護內部網(wǎng)絡。各主機把任何其它主機發(fā)送的通信連接都視為“不可信”的,都需要嚴格過濾。而不是傳統(tǒng)邊界防火墻那樣,僅對外部網(wǎng)絡發(fā)出的通信請求“不信任”。
4按防火墻的應用部署位置分
按防火墻的應用部署位置分,可以分為邊界防火墻、個人防火墻和混合防火墻三大類。
邊界防火墻是最為傳統(tǒng)的,它們于內、外部網(wǎng)絡的邊界,所起的作用的對內、外部網(wǎng)絡實施隔離,保護邊界內部網(wǎng)絡。這類防火墻一般都屬于硬件類型,價格較貴,性能較好。
個人防火墻安裝于單臺主機中,防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶,通常為軟件防火墻,價格最便宜,性能也最差。
混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個軟、硬件組件組成,分布于內、外部網(wǎng)絡邊界和內部各主機之間,既對內、外部網(wǎng)絡之間通信進行過濾,又對網(wǎng)絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。
5按防火墻性能分
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因為防火墻通常位于網(wǎng)絡邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應用所產生的延時也越小,對整個網(wǎng)絡通信性能的影響也就越小。
雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節(jié)者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅動型的攻擊。
參考文獻
篇2
(二)數(shù)據(jù)倉庫技術
信息技術的發(fā)展使得信息網(wǎng)絡中傳輸和存儲的信息量越來越大、越來越復雜,如何對海量的數(shù)據(jù)信息進行科學高效管理,降低有用信息的獲取難度是數(shù)據(jù)倉庫技術的出發(fā)點之一。應用數(shù)據(jù)倉庫相關技術如關系數(shù)據(jù)庫、分布式數(shù)據(jù)處理、并行式數(shù)據(jù)處理等可以將海量的數(shù)據(jù)轉換和集成為條理清晰的、準確可靠的信息資料,供用戶進行信息查詢、數(shù)據(jù)統(tǒng)計等。此外,數(shù)據(jù)倉庫技術還可為數(shù)據(jù)管理人員在不了解數(shù)據(jù)庫結構和不同數(shù)據(jù)間相互關系的情況下進行數(shù)據(jù)挖掘提供了可能。
(三)數(shù)據(jù)挖掘技術
目前的數(shù)據(jù)庫系統(tǒng)雖可對信息進行錄入、查詢或統(tǒng)計,但在處理和發(fā)掘不同數(shù)據(jù)之間的關系,分析未來發(fā)展趨勢等方面存在諸多不足。這就要求對龐大的數(shù)據(jù)信息進行挖掘。
(四)人工智能網(wǎng)絡信息檢索技術
隨著信息網(wǎng)絡規(guī)模的擴大和信息數(shù)據(jù)量的增長,如果僅僅依靠人工篩選很難達到預期效果,人工智能網(wǎng)絡信息技術可以對人工特性進行模擬,但是又不失計算機技術的高效性和快速性,可以根據(jù)待解決的復雜問題進行信息檢索和數(shù)據(jù)分析,進而向用戶提供相應的,較為準確的檢索分析結果。
二計算機信息網(wǎng)絡中的安全防護類關鍵技術分析
完整的計算機信息網(wǎng)絡分為7個層次,對應的網(wǎng)絡安全防護需要對每一層進行部署,但是實際應用中可根據(jù)TCP/IP協(xié)議,將安全防護簡化為四個主要的層次,分別為物理層、鏈路層、網(wǎng)絡層以及應用層。對信息網(wǎng)絡的安全防護應該實現(xiàn)以下幾方面內容。首先是對網(wǎng)絡訪問用戶和訪問數(shù)據(jù)的控制與審查。即根據(jù)用戶權限和數(shù)據(jù)權限確定對應關系,建立訪問控制體系,只有符合要求的用戶才能夠對網(wǎng)絡信息進行訪問或修改,這樣可以增大惡意攻擊發(fā)生的難度。其次是建立多層防御體系。一方面要對通信數(shù)據(jù)進行加密和認證,防止數(shù)據(jù)信息傳輸過程中受到竊取或修改;另一方面做好信息監(jiān)控管理,設立一套完整的信息安全監(jiān)控體系,建立數(shù)據(jù)備份和恢復機制,確保網(wǎng)絡受到攻擊時還能夠最大程度保存數(shù)據(jù)的可恢復性。
(一)防火墻技術
防火墻技術是在內部網(wǎng)絡與外部網(wǎng)絡之間建立一個信息安全策略,根據(jù)該策略確定內外網(wǎng)絡之間的通信是否被允許。當前安全級別最高的防火墻技術是隱蔽智能網(wǎng)關技術,該技術可以防止針對防火墻的惡意攻擊還能夠向用戶提供最大限度的網(wǎng)絡訪問,對未授權的訪問、未經過認證的用戶、以及不符合安全策略的信息數(shù)據(jù)進行阻止或拒絕。
篇3
隨著計算機網(wǎng)絡的廣泛應用,全球信息化已成為人類發(fā)展的大趨勢。互聯(lián)網(wǎng)已經成了現(xiàn)代人生活中不可缺少的一部分,隨著互聯(lián)網(wǎng)規(guī)模的迅速擴大,網(wǎng)絡豐富的信息資源給用戶帶來了極大方便的同時,由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征,致使網(wǎng)絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護我們的網(wǎng)絡安全、可靠性,所以我們要用防火墻,防火墻技術是近年來發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術性措施。
其實防火墻就好像在古老的中世紀安全防務的一個現(xiàn)代變種:在你的城堡周圍挖一道深深的壕溝。這樣一來,使所有進出城堡的人都要經過一個吊橋,吊橋上的看門警衛(wèi)可以檢查每一個來往的行人。對于網(wǎng)絡,也可以采用同樣的方法:一個擁有多個LAN的公司的內部網(wǎng)絡可以任意連接,但進出該公司的通信量必須經過一個電子吊橋(防火墻)。也就是說防火墻實際上是一種訪問控制技術,在某個機構的網(wǎng)絡和不安全的網(wǎng)絡之間設置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護網(wǎng)絡上被非法輸出。
防火墻不是一個單獨的計算機程序或設備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網(wǎng)絡間不受歡迎的信息交換,而允許那些可接受的通信。
二、防火墻技術
網(wǎng)絡防火墻是一種用來加強網(wǎng)絡之間訪問控制的特殊網(wǎng)絡設備,它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進行檢查,來決定網(wǎng)絡之間的通信是否被允許,其中被保護的網(wǎng)絡稱為內部網(wǎng)絡或私有網(wǎng)絡,另一方則被稱為外部網(wǎng)絡或公用網(wǎng)絡。防火墻能有效得控制內部網(wǎng)絡與外部網(wǎng)絡之間的訪問及數(shù)據(jù)傳輸,從而達到保護內部網(wǎng)絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。一個好的防火墻系統(tǒng)應具有以下五方面的特性:
1、所有的內部網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)必須通過防火墻;
2、只有被授權的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻;
3、防火墻本身不受各種攻擊的影響;
4、使用目前新的信息安全技術,比如現(xiàn)代密碼技術等;
5、人機界面良好,用戶配置使用方便,易管理。
實現(xiàn)防火墻的主要技術有:分組篩選器,應用網(wǎng)關和服務等。
(1)分組篩選器技術
分組篩選器是一個裝備有額外功能的標準路由器。這些額外功能用來檢查每個進出的分組。符合某種標準的分組被正常轉發(fā),不能通過檢查的就被丟棄。
通常,分組篩選器由系統(tǒng)管理員配置的表所驅動。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進出其他機器的分組的缺省規(guī)則。在一個UNIX設置的標準配置中,一個源端或目的端由一個IP地址和一個端口組成,端口表明希望得到什么樣的服務。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個公司可以擁塞到所有IP地址及一個端口號的分組。這樣,公司外部的人就不能通過Telnet登陸,或用Finger找人。進而該公司可以獎勵其雇員看一整天的USENET新聞。
擁塞外出分組更有技巧性,因為雖然大多數(shù)節(jié)點使用標準端口號,但這也不一定是一成不變的,更何況有一些重要的服務,像FTP(文件傳輸協(xié)議),其端口號是動態(tài)分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因為很難事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。
(2)應用網(wǎng)關技術
應用網(wǎng)關(ApplicationGateway)技術是建立在網(wǎng)絡應用層上的協(xié)議過濾,它針對特別的網(wǎng)絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠對數(shù)據(jù)包分析并形成相關的報告。應用網(wǎng)關對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制,以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對通過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網(wǎng)關一般由專用工作站系統(tǒng)來完成。
有些應用網(wǎng)關還存儲Internet上的那些被頻繁使用的頁面。當用戶請求的頁面在應用網(wǎng)關服務器緩存中存在時,服務器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務器上請求最新的頁面,然后再轉發(fā)給用戶(3)服務
服務器(ProxyServer)作用在應用層,它用來提供應用層服務的控制,起到內部網(wǎng)絡向外部網(wǎng)絡申請服務時中間轉接作用。內部網(wǎng)絡只接受提出的服務請求,拒絕外部網(wǎng)絡其它接點的直接請求。
具體地說,服務器是運行在防火墻主機上的專門的應用程序或者服務器程序;防火墻主機可以是具有一個內部網(wǎng)絡接口和一個外部網(wǎng)絡接口的雙重宿主主機,也可以是一些可以訪問因特網(wǎng)并被內部主機訪問的堡壘主機。這些程序接受用戶對因特網(wǎng)服務的請求(諸如FTP、Telnet),并按照一定的安全策略轉發(fā)它們到實際的服務。提供代替連接并且充當服務的網(wǎng)關。
在實際應用當中,構筑防火墻的“真正的解決方案”很少采用單一的技術,通常是多種解決不同問題的技術的有機組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務以及你愿意接受什么等級的風險,采用何種技術來解決那些問題依賴于你的時間、金錢、專長等因素。超級秘書網(wǎng)
三、防火墻技術展望
伴隨著Internet的飛速發(fā)展,防火墻技術與產品的更新步伐必然會加強,而要全面展望防火墻技術的發(fā)展幾乎是不可能的。但是,從產品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:
1)防火墻將從目前對子網(wǎng)或內部網(wǎng)管理的方式向遠程上網(wǎng)集中管理的方式發(fā)展。
2)過濾深度會不斷加強,從目前的地址、服務過濾,發(fā)展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。
3)利用防火墻建立專用網(wǎng)是較長一段時間用戶使用的主流,IP的加密需求越來越強,安全協(xié)議的開發(fā)是一大熱點。
4)單向防火墻(又叫做網(wǎng)絡二極管)將作為一種產品門類而出現(xiàn)。
5)對網(wǎng)絡攻擊的檢測和各種告警將成為防火墻的重要功能。
6)安全管理工具不斷完善,特別是可以活動的日志分析工具等將成為防火墻產品中的一部分。
另外值得一提的是,伴隨著防火墻技術的不斷發(fā)展,人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本等幾個方面。
參考文獻:
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
篇4
當內網(wǎng)互聯(lián)主機與互聯(lián)網(wǎng)主機連接時,需要使用相應的IP地址,反之當互聯(lián)網(wǎng)主機與內網(wǎng)互聯(lián)主機連接時,需要通過網(wǎng)關映射到內網(wǎng)主機。這將使互聯(lián)網(wǎng)網(wǎng)絡無法看到內部網(wǎng)的網(wǎng)絡,而且內部網(wǎng)的網(wǎng)絡將自己躲了起來。此外,DMZ中堡壘主機過濾管理程序可以順利通過安全通道,并與內部網(wǎng)中的智能認證服務器進行互相通信,而且通信的信息都是秘密進行的。由于智能認證服務器能夠進行秘密通信,因此它可以修改內外路由器表,也可以調整制定過濾規(guī)則。在智能防火墻中的智能認證服務程序和應用過濾管理程序可以互相協(xié)調,不僅可以在堡壘主機上運行,還可以在服務器上運行。
3、INTRANET條件下智能型防火墻的網(wǎng)絡安全技術實現(xiàn)方式
3.1智能型防火墻堡壘主機及其實現(xiàn)方法
堡壘主機起著連接內部網(wǎng)和互聯(lián)網(wǎng)的作用,它的作用非常重要,但是它容易受到攻擊,因此我必須要對其做好安全性保護,首先我們對堡壘主機操作系統(tǒng)——Linux操作系統(tǒng),做了非常縝密的安全化處理,其具體方法是:對于SMTP,F(xiàn)TP,HTTP等的基本網(wǎng)路服務進行保留,對他們的源代碼進行重新改寫,使它們中的過濾功能從中分離出來,建立一個新的模塊,這個模塊被稱為:應用過濾管理器模塊,讓這個模塊運行在堡壘主機上,統(tǒng)一調度管理所有的應用服務。應用過濾管理器的主要功能是對所有經過堡壘主機的信息進行攔截,然后從下至上對其經過協(xié)議的信息進行逐層分析,并對相對安全的數(shù)據(jù)進行存儲,最后秘密地傳達給智能認證服務器,讓智能認證服務器對這些信息進行分析處理,分析完之后再秘密地傳回給應用過濾管理器,然后應用過濾管理器根據(jù)分析結果對應用過濾功能進行重新配置,同時激發(fā)相應進行工作。
3.2智能型防火墻的智能認證服務器及實現(xiàn)方法
智能認證服務程序和網(wǎng)絡數(shù)據(jù)庫是智能認證服務器的核心,智能認證服務器是通過信息驅動來進行操作的,如果外部主機訪問內部網(wǎng)絡,則需要外部路由器的數(shù)據(jù)審核,通過審核的信息才能順利達到DMZ網(wǎng)絡,對于內部網(wǎng)的信息請求,不需要經過內部路由器審核,它可以直接進入DMZ網(wǎng)絡,另外,還需要這些路由器是否制定過濾規(guī)則,如果制定了過濾規(guī)則,就不能進行信息傳達,并且這些信息也將被丟棄掉,但是,如果過濾規(guī)則允許進行傳輸,那么這些信息還需要通過防火墻。如果數(shù)據(jù)包和路由器制定的規(guī)則不一致,那么這個數(shù)據(jù)包將會被用過濾管理器攔截下來,然后從底層協(xié)議到上層協(xié)議對其進行分析,如果分析結果是具有安全性的,那么這個數(shù)據(jù)包將會被傳輸給智能認證服務器。智能認證服務器上的數(shù)據(jù)接收器就會把這些信息存儲到網(wǎng)絡安全數(shù)據(jù)庫中,網(wǎng)絡安全數(shù)據(jù)庫發(fā)生變化后,推理機就會自動進行工作,推理機就會使用安全專家知識庫里的信息對剛剛進入網(wǎng)絡安全數(shù)據(jù)庫中的這些信息進行分析、比較和推斷,看看是否能夠找出相關對應的數(shù)據(jù),從而得出過濾方案,使網(wǎng)絡管理員能夠直觀的看到,方便網(wǎng)絡管理員根據(jù)實際情況作出相應的處理。這時原文發(fā)生器就會轉化其內部的代碼或者通過修改路由器表和過濾規(guī)則來實現(xiàn)內外主機通信;或者由過濾管理器通過修改過濾規(guī)則,將其傳輸?shù)紻MZ上的堡壘主機,堡壘主機中的應用過濾管理器對其過濾功能進行重新配置,激發(fā)其他應用進行工作。因此,智能型防火墻更能全面嚴格地進行安全控制。
篇5
0 引言
一般來說,防火墻包括幾個不同的組成部分:過濾器(有時也稱屏蔽)用于阻斷一定類型的通信傳輸。網(wǎng)關是一臺或一組機器,它提供中繼服務,以補償過濾器的影響。駐有網(wǎng)關的網(wǎng)絡常被叫做非軍事區(qū)(DeMilitarized Zone,DMZ)。DMZ中的網(wǎng)關有時還由一個內部網(wǎng)關(internal gateway)協(xié)助工作。一般情況下,兩個網(wǎng)關通過內部過濾器到內部的連接比外部網(wǎng)關到其他內部主機的連接更為開放。就網(wǎng)絡通信而言,兩個過濾器或網(wǎng)關本身,都是可以省去的,詳細情況隨防火墻的變化而變化。一般說來,外部過濾器可用來保護網(wǎng)關免受攻擊,而內部過濾器用來應付一個網(wǎng)關遭到破壞后所帶來的后果,兩個過濾器均可保護內部網(wǎng)絡,使之免受攻擊。一個暴露的網(wǎng)關機器通常被叫做堡壘機。
防火墻可分成兩種主要類別:數(shù)據(jù)包過濾(packet filtering)和應用網(wǎng)關(application gateway)。
數(shù)據(jù)包過濾防火墻的工作方法是通過基于數(shù)據(jù)包的源地址、目的地址或端口來進行過濾的。一般說來,不保持前后連接信息,過濾決定也是根據(jù)當前數(shù)據(jù)包的內容來做的。管理員可以設計一個可接受機器和服務的列表,以及一個不可接受機器和服務的列表。在主機和網(wǎng)絡一級,利用數(shù)據(jù)包過濾器很容易實現(xiàn)允許或禁止訪問。例如,允許主機A和B之間的任何IP訪問,或禁止除A以外的任何機器訪問B。
大多數(shù)安全策略需要更為精細的控制:對根本不被信任的主機,需要定義容許它們訪問的服務。例如,可以希望允許任何主機與機器A連接,但僅限于發(fā)送或接收郵件。其他服務可以或不可以被允許。數(shù)據(jù)包過濾器允許在這一級別上進行某些控制,為了正確地做到這一點,要求精通許多操作系統(tǒng)上TCP和UDP端口的使用知識。包過濾防火墻的優(yōu)點是速度快,缺點是不能對數(shù)據(jù)內容進行控制。
應用網(wǎng)關防火墻則是另一種方式,它不使用通用目標機制來允許各種不同種類的通信,而是針對每個應用使用專用目的代碼。雖然這樣做看來有些浪費,但卻比任何其他方法安全得多。一是不必擔心不同過濾規(guī)則集之間的交互影響,二是不必擔憂對外部提供安全服務的主機中的漏洞。只需仔細檢查選擇的數(shù)個程序。應用網(wǎng)關還有另一個優(yōu)點:它易于記錄并控制所有的進/出通信,并對Internet的訪問做到內容級的過濾,所以是很安全的。應用級網(wǎng)關的最大缺點就是速度慢。
1 網(wǎng)絡的系統(tǒng)規(guī)劃與設計
根據(jù)用戶具體情況,規(guī)劃內網(wǎng)的環(huán)境,必要時使用多個網(wǎng)段。確定是否需要向外部Internet提供服務以及何種服務,由此確定是否需要DMZ網(wǎng)段以及DMZ網(wǎng)段的具體結構。根據(jù)內網(wǎng)、DMZ網(wǎng)的結構確定NetST■防火墻的具體連接方式,防火墻位置一般放在路由器之后,內網(wǎng)、DMZ網(wǎng)之前。設計系統(tǒng)的訪問控制規(guī)則,使防火墻起作用。
2 防火墻配置步驟建議
配置網(wǎng)絡結構,安裝NetST■防火墻硬件,使防火墻各網(wǎng)卡正確連接內網(wǎng),外網(wǎng)和DMZ網(wǎng)。配置NetST■防火墻網(wǎng)絡參數(shù)使網(wǎng)絡連接正常,必要時需重啟NetST■防火墻。設計網(wǎng)絡安全策略,根據(jù)用戶具體情況設置安全選項、NAT規(guī)則、訪問控制的過濾規(guī)則、內容過濾規(guī)則等。啟動防火墻引擎,使規(guī)則起作用。
3 防火墻規(guī)則定義的一般步驟
NetST防火墻一般按下列步驟定義規(guī)則:
一般情況下,我們建議用戶按上面步驟進行規(guī)則配置,用戶也可以根據(jù)情況進行一定的調整和修改。
4 狀態(tài)檢測防火墻引擎
NetST防火墻引擎采用國際先進的狀態(tài)檢測包過濾技術,實時在線監(jiān)測當前內外網(wǎng)絡的TCP連接狀態(tài),根據(jù)連接狀態(tài)動態(tài)配置規(guī)則,對異常的連接狀態(tài)進行阻斷,實現(xiàn)入侵檢測并及時報警。NetST■防火墻支持對目前國際上主要的網(wǎng)絡攻擊方法的判別,并且進行有效阻斷。作為包過濾型防火墻, NetST防火墻為用戶提供強大的包過濾功能。NetST防火墻支持各種主流網(wǎng)絡協(xié)議,不僅可以根據(jù)網(wǎng)絡流量的類型、網(wǎng)絡地址、應用服務等條件進行過濾,并且可以對多種網(wǎng)絡入侵進行辨別和有效阻斷,同時實時進行記錄和報警;另外,NetST■防火墻與內置多種網(wǎng)絡對象的Java管理控制臺配合使用,可以更加充分發(fā)揮NetST■防火墻引擎的強大的包過濾功能。
4.1 全面安全防護 NetST防火墻具備抵御多種外來惡意攻擊的能力:
4.1.1 DoS(Deny of Service,拒絕服務)攻擊:此類型的攻擊方式包括SYN Flooding、LAND攻擊、Ping Flooding、Ping of Death、Teardrop/New Tear、IP碎片攻擊等,攻擊者對服務器不斷發(fā)各種類型的數(shù)據(jù)包使服務器的處理能力達到飽和,從而不能再接受正常的訪問。NetST■防火墻利用地址檢測、流量限制、碎片重組等方法進行防御;
4.1.2 IP欺騙:攻擊機器 C模擬被攻擊機器A信任的機器B與A通信,通常先通過DoS攻擊使B的網(wǎng)絡陷于癱瘓,然后再冒充B與A通信以執(zhí)行對A造成危害的操作。防止IP欺騙的方法一是服務器不開危險服務,二是服務器的TCP連接的起始序列號要隨機選取,防止被猜,三是加強對DoS攻擊的防御。NetST■防火墻的防御方法是一是禁止外網(wǎng)到內網(wǎng)的連接請求,或只將允許的開放端口請求轉到DMZ區(qū)的服務器,同時DMZ區(qū)服務器盡量只開單一服務,并注意對系統(tǒng)軟件進行升級或打補丁;
4.1.3 端口掃描:通過端口掃描,攻擊者可知道被攻擊的服務器上運行那些服務,從而對服務進行攻擊或利用某些服務的缺陷攻擊主機。NetST■防火墻利用網(wǎng)絡地址轉換(NAT)功能、TCP狀態(tài)檢測等方法進行防御;
4.1.4 IP盜用:在內網(wǎng)中的一臺機器通過修改IP地址模擬另一臺機器,從而NetST■防火墻使用基于用戶的認證使IP地址與用戶動態(tài)綁定以及IP地址與MAC地址綁定來進行預防。
4.2 全面內容過濾 NetST防火墻支持對最常用的應用層協(xié)議進行內容過濾,使用戶可以根據(jù)網(wǎng)絡傳輸?shù)膬热葸M行管理和控制,從而使企業(yè)網(wǎng)絡運行更加快速有效。NetST防火墻支持HTTP協(xié)議的URL過濾和HTML內容過濾。NetST■防火墻支持與WebCM■3000系列產品無縫集成,由NetST■防火墻提取出URL,然后與UFP服務器連接以確定是否允許此請求通過;同時,可過濾HTML頁面中的各種腳本和Java小程序;可拒絕各種媒體類型的數(shù)據(jù),如圖像、聲頻、視頻等,以免浪費帶寬,降低工作效率;NetST防火墻支持FTP協(xié)議內容過濾,用戶可自行設定拒絕上載和下載的文件類型表,對此文件類型范圍內的文件傳送請求將被拒絕;
NetST防火墻支持主要郵件協(xié)議的內容過濾。對于SMTP協(xié)議,用戶可自行設定拒絕發(fā)的附件文件類型表,對此文件類型范圍內的附件發(fā)送請求將被拒絕;對于POP3協(xié)議,可自行設定危險的附件文件類型表,對此文件類型范圍內的附件收取將修改文件的后綴名以使其暫時失效,從而防止諸如“ILOVEYOU”等郵件病毒的攻擊。
在當前信息技術高速發(fā)展的情況下,好的反火槍技術不斷發(fā)展更新,設計該系統(tǒng)的過程中,我們也是在不斷的發(fā)現(xiàn)問題,解決問題。也發(fā)現(xiàn)了不少沒有能解決的新問題,比如延時的控制以及系統(tǒng)運行時的安全保障等新的問題。這需要在今后的工作中不斷的去努力,不斷地去研究逐漸解決。
參考文獻:
[1]張迅.基于SIP的IP視頻電話的設計與實現(xiàn).華中科技大學碩士學位論文,2006:14-19.
[2]武海寧基于SIP/RTP的實用VOIP系統(tǒng)研究.北京郵電大學碩士學位論文,2007:17-23.
篇6
企業(yè)內部辦公自動化網(wǎng)絡一般是基于TCP/IP協(xié)議并采用了Internet的通信標準和Web信息流通模式的Intranet,它具有開放性,因而使用極其方便。但開放性卻帶來了系統(tǒng)入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決,就可能出現(xiàn)商業(yè)秘密泄漏、設備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴重后果,給正常的企業(yè)經營活動造成極大的負面影響。因此企業(yè)需要一個更安全的辦公自動化網(wǎng)絡系統(tǒng)。
目前企業(yè)內部辦公網(wǎng)絡存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽等,在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。所以企業(yè)網(wǎng)絡中應該以防范黑客和病毒為首。
針對企業(yè)辦公網(wǎng)絡存在的眾多隱患,各個企業(yè)也實施了安全防御措施,其中包括防火墻技術、數(shù)據(jù)加密技術、認證技術、PKI技術等,但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就放火墻技術在企業(yè)辦公中的應用給予探討,希望能給廣大企業(yè)辦公網(wǎng)絡安全建設帶來一定幫助。
二、防火墻技術概述
1.防火墻的基本概念
防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻,在這里引申為保護內部網(wǎng)絡安全的一道防護墻。從理論上講,網(wǎng)絡防火墻服務的原理與其類似,它用來防止外部網(wǎng)上的各類危險傳播到某個受保護網(wǎng)內。從邏輯上講,防火墻是分離器、限制器和分析器;從物理角度看,各個防火墻的物理實現(xiàn)方式可以有所不同,但它通常是一組硬件設備(路由器、主機)和軟件的多種組合;而從本質上來說防火墻是一種保護裝置,用來保護網(wǎng)絡數(shù)據(jù)、資源和用戶的聲譽;從技術上來說,網(wǎng)絡防火墻是一種訪問控制技術,在某個機構的網(wǎng)絡和不安全的網(wǎng)絡之間設置障礙,阻止對信息資源的非法訪問,換句話說,防火墻是一道門檻,控制進/出兩個方向的通信,防火墻主要用來保護安全網(wǎng)絡免受來自不安全網(wǎng)絡的入侵,如安全網(wǎng)絡可能是企業(yè)的內部網(wǎng)絡,不安全網(wǎng)絡是因特網(wǎng),當然,防火墻不只是用于某個網(wǎng)絡與因特網(wǎng)的隔離,也可用于企業(yè)內部網(wǎng)絡中的部門網(wǎng)絡之間的隔離。
2.防火墻的工作原理
防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則,監(jiān)控所有通過防火墻
的數(shù)據(jù)流,只允許授權的數(shù)據(jù)通過,同時記錄有關的聯(lián)接來源、服務器提供的
通信量以及試圖闖入者的任何企圖,以方便管理員的監(jiān)測和跟蹤,并且防火墻本身也必須能夠免于滲透。
3.防火墻的功能
一般來說,防火墻具有以下幾種功能:
①能夠防止非法用戶進入內部網(wǎng)絡。
②可以很方便地監(jiān)視網(wǎng)絡的安全性,并報警。
③可以作為部署NAT(NetworkAddressTranslation,網(wǎng)絡地址變換)的地點,利用NAT技術,將有限的IP地址動態(tài)或靜態(tài)地與內部的IP地址對應起來,用來緩解地址空間短缺的問題。
④可以連接到一個單獨的網(wǎng)段上,從物理上和內部網(wǎng)段隔開,并在此部署WWW服務器和FTP服務器,將其作為向外部內部信息的地點。從技術角度來講,就是所謂的停火區(qū)(DMZ)。
4.防火墻的分類
①包過濾型防火墻,又稱篩選路由器(Screeningrouter)或網(wǎng)絡層防火墻(Networklevelfirewall),它工作在網(wǎng)絡層和傳輸層。它基于單個數(shù)據(jù)包實施網(wǎng)絡控制,根據(jù)所收到的數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號、ICMP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志等為參數(shù),與用戶預定的訪問控制表進行比較,決定數(shù)據(jù)是否符合預先制定的安全策略,決定數(shù)據(jù)包的轉發(fā)或丟棄,即實施過濾。
②服務器型防火墻
服務器型防火墻通過在主機上運行的服務程序,直接對特定的應用層進行服務,因此也稱為應用型防火墻。其核心是運行于防火墻主機上的服務器進程,它代替網(wǎng)絡用戶完成特定的TCP/IP功能。一個服務器實際上是一個為特定網(wǎng)絡應用而連接兩個網(wǎng)絡的網(wǎng)關。
③復合型防火墻
由于對更高安全性的要求,通常把數(shù)據(jù)包過濾和服務系統(tǒng)的功能和特點綜合起來,構成復合型防火墻系統(tǒng)。所用主機稱為堡壘主機,負責服務。各種類型的防火墻都有其各自的優(yōu)缺點。當前的防火墻產品己不再是單一的包過濾型或服務器型防火墻,而是將各種安全技術結合起來,形成一個混合的多級防火墻,以提高防火墻的靈活性和安全性。混合型防火墻一般采用以下幾種技術:①動態(tài)包過濾;②內核透明技術;③用戶認證機制;④內容和策略感知能力:⑤內部信息隱藏;⑥智能日志、審計和實時報警;⑦防火墻的交互操作性等。
三、辦公網(wǎng)絡防火墻的設計
1.防火墻的系統(tǒng)總體設計思想
1.1設計防火墻系統(tǒng)的拓撲結構
在確定防火墻系統(tǒng)的拓撲結構時,首先必須確定被保護網(wǎng)絡的安全級別。從整個系統(tǒng)的成本、安全保護的實現(xiàn)、維護、升級、改造以及重要的資源的保護等方面進行考慮,以決定防火墻系統(tǒng)的拓撲結構。
1.2制定網(wǎng)絡安全策略778論文在線
在實現(xiàn)過程中,沒有允許的服務是被禁止的,沒有被禁止的服務都是允許的,因此網(wǎng)絡安全的第一條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流,逐一完成每一項許可的服務;第二條策略是允許一切沒有被禁止的服務,防火墻轉發(fā)所有的信息,逐項刪除被禁止的服務。
1.3確定包過濾規(guī)則
包過濾規(guī)則是以處理IP包頭信息為基礎,設計在包過濾規(guī)則時,一般先組織好包過濾規(guī)則,然后再進行具體設置。
1.4設計服務
服務器接受外部網(wǎng)絡節(jié)點提出的服務請求,如果此請求被接受,服務器再建立與實服務器的連接。由于它作用于應用層,故可利用各種安全技術,如身份驗證、日志登錄、審計跟蹤、密碼技術等,來加強網(wǎng)絡安全性,解決包過濾所不能解決的問題。
1.5嚴格定義功能模塊,分散實現(xiàn)
防火墻由各種功能模塊組成,如包過濾器、服務器、認證服務器、域名服務器、通信監(jiān)控器等。這些功能模塊最好由路由器和單獨的主機實現(xiàn),功能分散減少了實現(xiàn)的難度,增加了可靠程度。
1.6防火墻維護和管理方案的考慮
防火墻的日常維護是對訪問記錄進行審計,發(fā)現(xiàn)入侵和非法訪問情況。據(jù)此對防火墻的安全性進行評價,需要時進行適當改進,管理工作要根據(jù)網(wǎng)絡拓撲結構的改變或安全策略的變化,對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優(yōu)化其性能,以保證網(wǎng)絡極其信息的安全性。
2.一種典型防火墻設計實例——數(shù)據(jù)包防火墻設計
數(shù)據(jù)包過濾防火墻工作于DOD(DepartmentofDefense)模型的網(wǎng)絡層,其技術核心是對是流經防火墻每個數(shù)據(jù)包進行行審查,分析其包頭中所包含的源地址、目的地址、封裝協(xié)議(TCP,UDP、ICMP,IPTunnel等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息,確定其是否與系統(tǒng)預先設定的安全策略相匹配,以決定允許或拒絕該數(shù)據(jù)包的通過。從而起到保護內部網(wǎng)絡的作用,這一過程就稱為數(shù)據(jù)包過濾。
本例中網(wǎng)絡環(huán)境為:內部網(wǎng)絡使用的網(wǎng)段為192.168.1.0,eth0為防火墻與Internet接口的網(wǎng)卡,eth1為防火墻與內部網(wǎng)絡接口的網(wǎng)卡。
數(shù)據(jù)包過濾規(guī)則的設計如下:
2.1與服務有關的安全檢查規(guī)則
這類安全檢查是根據(jù)特定服務的需要來決定是否允許相關的數(shù)據(jù)包被傳輸.這類服務包括WWW,F(xiàn)TP,Telnet,SMTP等.我們以WWW包過濾為例,來分析這類數(shù)據(jù)包過濾的實現(xiàn).
WWW數(shù)據(jù)包采用TCP或UDP協(xié)
議,其端口為80,設置安全規(guī)則為允許內部網(wǎng)絡用戶對Internet的WWW訪問,而限制Internet用戶僅能訪問內部網(wǎng)部的WWW服務器,(假定其IP地址為192.168.1.11)。
要實現(xiàn)上述WWW安全規(guī)則,設置WWW數(shù)據(jù)包過濾為,在防火eth0端僅允許目的地址為內部網(wǎng)絡WWW服務器地址數(shù)據(jù)包通過,而在防火墻eth1端允許所有來自內部網(wǎng)絡WWW數(shù)據(jù)包通過。
#DefineHTTPpackets
#允許Internet客戶的WWW包訪問WWW服務器
/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT
/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT
#允許WWW服務器回應Internet客戶的WWW訪問請求
/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT
/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT
顯然,設置此類數(shù)據(jù)過濾的關鍵是限制與服務相應的目地地址和服務端口。
與此相似,我們可以建立起與FTP,Telnet,SMTP等服務有關的數(shù)據(jù)包檢查規(guī)則;
2.2與服務無關的安全檢查規(guī)則778論文在線
這類安全規(guī)則是通過對路由表、數(shù)據(jù)包的特定IP選項和特定段等內容的檢查來實現(xiàn)的,主要有以下幾點:
①數(shù)據(jù)包完整性檢查(TinyFragment):安全規(guī)則為拒絕不完整數(shù)據(jù)包進人Ipchains本身并不具備碎片過濾功能,實現(xiàn)完整性檢查的方法是利用REDHAT,在編譯其內核時設定IP;alwaysdefraymentssetto‘y’。REDHAT檢查進人的數(shù)據(jù)包的完整性,合并片段而拋棄碎片。
②源地址IP(SourceIPAddressSpoofing)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包偽裝成來自某一內部網(wǎng)絡主機,以期能滲透到內部網(wǎng)絡中.要實現(xiàn)這一安全規(guī)則,設置拒絕數(shù)據(jù)包過濾規(guī)則為,在防火墻eth0端拒絕1P源地址為內部網(wǎng)絡地址的數(shù)據(jù)包通過。
③源路由(SourceRouting)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包包含自行指定的路由信息,實現(xiàn)的方法也是借助REDHAT的路由功能,拒絕來自外部的包含源路由選項的數(shù)據(jù)包。
總之,放火墻優(yōu)點眾多,但也并非萬無一失。所以,安全人員在設定防火墻后千萬不可麻痹大意,而應居安思危,將防火墻與其他安全防御技術配合使用,才能達到應有的效果。
參考文獻:
張曄,劉玉莎.防火墻技術的研究與探討[J].計算機系統(tǒng)應用,1999
王麗艷.淺談防火墻技術與防火墻系統(tǒng)設計.遼寧工學院學報.2001
郭偉.數(shù)據(jù)包過濾技術與防火墻的設計.江漢大學學報.2001
篇7
隨著Internet的快速發(fā)展,網(wǎng)絡安全問題是人們最為關注的問題,基于IPv4協(xié)議邊界式防火墻存在著日益突出的問題,主要體現(xiàn)在IP地址空間缺乏和骨干路由器中路由表“爆炸”的等突出問題。邊界式防火墻在保護企業(yè)內部網(wǎng)絡的情況下,確實是一種有效的網(wǎng)絡安全技術,而隨著網(wǎng)絡應用規(guī)模的日益擴大,它的缺陷也不斷呈現(xiàn)出來,很難實現(xiàn)網(wǎng)絡的安全性和網(wǎng)絡性能的均衡性。為了彌補IPv4和傳統(tǒng)邊界式防火墻的缺陷性及網(wǎng)絡安全性等問題,此文提出了基于Linux的IPv6分布式防火墻網(wǎng)絡體系架構的設計與實現(xiàn)。IPv6作為下一代互聯(lián)網(wǎng)的基礎協(xié)議存在很多優(yōu)勢。IPv6解決了IPv4存在的地址空間缺乏和路由表“爆炸”等問題,并且在安全性、移動性以及QoS等方面有著強有力的支持,IPv6協(xié)議由于包頭設計得更加合理,使得路由器在處理數(shù)據(jù)包時更加快捷。此外,IPv6將IPSec集成到了協(xié)議內部,使得IPSec不再單獨存在等等。
1 分布式防火墻網(wǎng)絡體系結構
1.1分布式防火墻技術
分布式防火墻分為安全策略管理服務器[Server]、客戶端防火墻[Client]兩部分. 安全策略管理服務器主要負責安全策略、用戶、日志、審計等管理作用。該服務器是集中管理控制中心,統(tǒng)一制定和分發(fā)安全策略,負責管理系統(tǒng)日志、多主機的統(tǒng)一管理,使終端用戶“零”負擔。客戶端防火墻主要作用于各個服務器、工作站、個人計算機上,按照安全策略文件的內容,必須通過包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢測,保護計算機在正常情況下連接網(wǎng)絡時不會受到黑客惡意的入侵與攻擊,從而大大提高了網(wǎng)絡安全性能。多臺基于主機但集中管理與配置的防火墻組成了分布式防火墻。在分布式防火墻中,安全策略仍然被集中定義,但是在每一個單獨的網(wǎng)絡端點(如主機、路由器)上實施。
分布式防火墻包括安全策略語言、安全策略機制及應用、實施安全策略機制。安全策略的法則嚴格地規(guī)定了允許通過的通訊文件和禁止通過的通訊的文件,它可以在多種類型的情況下應用,還必須有權利委派和身份鑒別的功能。策略制定之后就可以至網(wǎng)絡端點上去了。在傳輸過程中,策略系統(tǒng)必須保證策略法則的完整性、真實性。策略有多種形式,可以直接“推”到終端系統(tǒng)上,可以由終端按照需求截取,也可以提供給用戶(以證書的形式)。策略實施機制系統(tǒng)在主機上,在處理進出的通訊之前,它需要查詢本地策略才能做出允許或者禁止的決定。
1.2分布式防火墻體系架構
圖1分布式防火墻體系架構
針對邊界式防火墻的缺陷,提出了“分布式防火墻”(Distributed Firewalls)作為新的防火墻體系結構,因為它主要負責網(wǎng)絡邊界、每個子網(wǎng)和網(wǎng)絡內部每一個節(jié)點之間的安全防護,所以分布式防火墻為一個完整的體系,而不僅僅是單一的產品。依據(jù)它所需完成的功能,包括三部分:網(wǎng)絡防火墻(Network Firewall)、主機防火墻(Host Firewall)、中心管理(Central Managerment),如圖1所示。
(1)網(wǎng)絡防火墻(Network Firewall)
網(wǎng)絡防火墻一般是純軟件方式,有時候需要硬件的支持。它作用于外部網(wǎng)與內部網(wǎng)之間,及內部網(wǎng)下各個小子網(wǎng)之間的防護,這也是與傳統(tǒng)邊界式防火墻不同之處,這樣以來整個網(wǎng)絡的安全防護體系就會更加全面、可靠。
網(wǎng)絡防火墻包括入侵檢測模塊、防火墻模塊和管理模塊。入侵檢測模塊所用的是snort_inLine,防火墻模塊在Linux環(huán)境下所用的是基于Netfilter框架的Iptables,為了使網(wǎng)絡防火墻更好的安全防護整個網(wǎng)絡,防火墻模塊和入侵檢測模塊內嵌式互動,防火墻實時截取網(wǎng)絡數(shù)據(jù)包,假如是信賴的網(wǎng)段或主機的數(shù)據(jù)包,就直接通過網(wǎng)絡防火墻,減少入侵檢測系統(tǒng)的匹配次數(shù);如果不是,數(shù)據(jù)包通過內核態(tài)至用戶態(tài),入侵檢測系統(tǒng)接收到數(shù)據(jù)包再檢測,如果發(fā)現(xiàn)入侵,就通知防火墻截斷,如果沒有發(fā)現(xiàn)入侵,就依照防火墻配置的法則處理。管理模塊包含數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送防火墻和入侵檢測系統(tǒng)日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分,數(shù)據(jù)發(fā)送程序的作用是:先與自己機器的SSH端口建立TCP連接,之后從日志文件讀出一行數(shù)據(jù)發(fā)送,直到文件完成。數(shù)據(jù)接受程序的作用是: 監(jiān)聽SSH端口,把接收到的法則代替原來的法則,讓它運用新的法則。
(2)主機防火墻(Host Firewall)
與網(wǎng)絡防火墻的設計一樣,主要對網(wǎng)絡中的服務器和桌面機進行防護,這是在邊界式防火墻安全體系方面的改進。它主要作用于同一內部子網(wǎng)之間的工作站與服務器之間,來確保內部網(wǎng)絡服務器的安全,這樣就安全防護應用層了,比起網(wǎng)絡層來更加全面。
主機防火墻由防火墻模塊、主機管理模塊組成,防火墻模塊在Linux環(huán)境下用的是基于Netfilter框架的Iptables,按照管理中心的安全策略過濾數(shù)據(jù)包;主機管理模塊包括數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分,數(shù)據(jù)發(fā)送程序的作用是:先與自己機器的SSH端口建立TCP連接,之后從日志文件讀出一行數(shù)據(jù)發(fā)送,直到文件完成。數(shù)據(jù)接受程序的作用是: 監(jiān)聽SSH端口,把接收到的法則代替原來的法則,讓它運用新的法則。
(3)管理中心(Managerment Central)
它作為服務器軟件,主要負責總體安全策略的策劃、管理、分發(fā)及日志的匯總,還有遠程管理、系統(tǒng)設置、系統(tǒng)安全等其它輔助功能。它也是在邊界式防火墻功能的一個完善。它具有智能管理的功能,提高了防火墻的安全防護靈活性、管理性。網(wǎng)絡防火墻和主機防火墻把日志發(fā)送給日志分析系統(tǒng)之后保存到日志文件之中,網(wǎng)絡管理維護中心發(fā)放法則給網(wǎng)絡防火墻和主機防火墻,管理中心與主機防火墻和邊界防火墻之間的通信必須通過身份驗證之后運用openssH數(shù)據(jù)安全通道加密通訊,這樣管理中心與主機防火墻和網(wǎng)絡防火墻的通信才會更加安全。此外管理中心還有用戶圖形界面(GUI)功能,負責管理網(wǎng)絡中的所有端點、制定和分發(fā)安全策略,而且要分析從主機防火墻、網(wǎng)絡防火墻接收的日志,依據(jù)分析的結果再修改安全策略。
2主機防火墻的設 計與實現(xiàn)
Linux廣泛地應用到世界各地服務器網(wǎng)絡當中,由于它是開源的。Linux版本2.4內核中已采用了Netfilter的防火墻框架,而且內核中還支持IPv6協(xié)議棧。所以此文采用Linux作為目標環(huán)境下的系統(tǒng)的開發(fā)和運行平臺。
2.1主機管理模塊
主機管理模塊包括數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分,數(shù)據(jù)發(fā)送程序的作用:首先要跟自己機器的SSH端口建立TCP連接,之后從日志文件讀出一行數(shù)據(jù)再發(fā)送,直到文件完成。數(shù)據(jù)接受程序的作用:監(jiān)聽SSH端口,把接收到的法則代替原來的法則,讓它運用新的法則。
2.2主機防火墻模塊
Linux版本2.4內核中集成了Netfilter框架,基于Linux平臺下,該框架具有新的網(wǎng)絡安全功能:網(wǎng)絡數(shù)據(jù)包過濾、狀態(tài)保持、NAT及抗攻擊等。Iptables作為Netfilter框架在用戶空間的配置工具的任務:負責從用戶命令行界面接收命令之后轉化成內核認識的結構體,調用相應的內核操作函數(shù),將法則插入到內核中去。運用Iptables,一定在編譯Linux內核時(版本一定比2.4大)選擇跟Netfilter相關的內核模塊。Netfilter作為內核空間的實現(xiàn)模塊,Iptables作為用戶空間的控制命令解析器,只有它們合起來才能完成整體的工作。因此首先必須對內核進行裁剪和編譯,選擇與Netfilter相關的項目,(位于“Networking options”子項下)。
Netfilter是由一系列基于協(xié)議棧的鉤子組成,這些鉤子都對應某一具體的協(xié)議。Netfilter支持IPv4、IPv6與IPx等協(xié)議,具有協(xié)議對應的鉤子函數(shù)。這些鉤子函數(shù)在數(shù)據(jù)包通過協(xié)議棧的幾個關鍵點時被調用,協(xié)議棧把數(shù)據(jù)包與鉤子標號作為參數(shù)傳遞給Netfilter鉤子;可以編寫內核模塊來注冊一個或多個鉤子,以掛鉤自己的處理函數(shù),這樣當數(shù)據(jù)包被傳遞給某個鉤子時,內核就會依次調用掛鉤在這個鉤子上的每一個處理函數(shù),這些處理函數(shù)就能對數(shù)據(jù)包進行各種處理(修改、丟棄或傳遞給用戶進程等);接收到的數(shù)據(jù)包,用戶進程也可以對它進行各種處理。一個IPV6數(shù)據(jù)包在通過Netfilter防火墻框架時,它將經過如圖2所示的流程。
圖2 IPv6網(wǎng)絡數(shù)據(jù)包處理流程
每一個IPv6數(shù)據(jù)包經過Netfilter框架時,必須通過5個鉤子函數(shù)處理:
(1)HOOK1(NF_IP6_PRE_ROUTING),數(shù)據(jù)包在抵達路由之前經過這個鉤子。目前,在這個鉤子上只對數(shù)據(jù)包作包頭檢測處理,一般應用于防止拒絕服務攻擊和NAT;(2)HOOK2(NF_IP6_LOCAL_IN),目的地為本地主機的數(shù)據(jù)包經過這個鉤子。防火墻一般建立在這個鉤子上;(3)HOOK3(NF_IP6_FORWARD),目的地非本地主機的數(shù)據(jù)包經過這個鉤子;(4)HOOK4(NF_IP6_POST_ROUTING),數(shù)據(jù)包在離開本地主機之前經過這個鉤子,包括源地址為本地主機和非本地主機的;(5)HOOK5(NF_IP6_LOCAL_OUT),本地主機發(fā)出的數(shù)據(jù)包經過這個鉤子。
IP網(wǎng)絡數(shù)據(jù)包處理流程:數(shù)據(jù)報從左邊進入系統(tǒng),進行IPv6校驗以后,數(shù)據(jù)報經過第一個鉤子NF_IP_PRE_ROUTING注冊函數(shù)進行處理;然后就進入路由代碼,其決定該數(shù)據(jù)包是需要轉發(fā)還是發(fā)給本機的;若該數(shù)據(jù)包是發(fā)被本機的,則該數(shù)據(jù)經過鉤子NF_IP6_LOCAL_IN注冊函數(shù)處理以后然后傳遞給上層協(xié)議;若該數(shù)據(jù)包應該被轉發(fā)則它被NF_IP6_FORWARD注冊函數(shù)處理;經過轉發(fā)的數(shù)據(jù)報經過最后一個鉤子NF_IP6_POST_ROUTING注冊函數(shù)處理以后,再傳輸?shù)骄W(wǎng)絡上。
本地產生的數(shù)據(jù)經過鉤子函數(shù)NF_IP6_LOCAL_OUT注冊函數(shù)處理以后,進行路由選擇處理,然后經過NF_IP6_POST_ROUTI NG注冊函數(shù)處理以后發(fā)送到網(wǎng)絡上。
3 結論
針對本文設計的Linux環(huán)境下IPv6分布式防火墻的測試中,用兩臺IPv6主機對防火墻保護下的內網(wǎng)主機進行訪問,來測試防火墻。外網(wǎng)主機的環(huán)境一臺為WINXP,另一臺是Linux。通過對外網(wǎng)主機訪問記錄的驗證來檢測防火墻的性能。測試的實驗結果表明:系統(tǒng)都能按照規(guī)則對數(shù)據(jù)包進行處理,實現(xiàn)了IPv6分布式防火墻的功能。隨著網(wǎng)絡的不斷發(fā)展,傳統(tǒng)的邊界式防火墻的弊端越來越暴露出來了,Linux作為一種開放源代碼的操作系統(tǒng),在世界各地有著廣泛的應用。Linux內核版本2.4中已經采用了Netfilter的防火墻框架,而且內核中已支持IPv6協(xié)議棧,而下一代通信協(xié)議IPv6是未來網(wǎng)絡發(fā)展的趨勢。本文在Linux環(huán)境下設計并實現(xiàn)了一個分布式防火墻具有重大意義。
參考文獻:
[1]范振岐.基于Linux的IPv6復合防火墻的設計[J].網(wǎng)絡安全技術與使用,2006,2:35-37.
[2]蔣雄偉.Linux下的分布式防火墻設計與實現(xiàn):[碩士學位論文].南京:南京理工大學.2006.
[3]張科.IPv6防火墻狀態(tài)檢測技術的研究與實現(xiàn):[碩士學位論文].重慶:重慶大學.2007.
[4]楊剛,陳蜀宇.Linux中基于Nctfilter/IPtables的防火墻研究[J].計算機工程與設計,2007,(28):4124-4132.
篇8
一.引言
隨著社會經濟的發(fā)展,建筑工程建設得到了前所未有的發(fā)展,建筑工程項目的數(shù)量日益增多,同時出現(xiàn)的各種建筑工程事故也在增加。建筑工程的結構設計是保證工程質量的關鍵,防火防爆設計直接影響著工程項目的實用性,甚至關系著人民的生命財產安全。因此,為了提高建筑工程的質量,保障人民的生命財產安全,降低國家的經濟損失,我們必須要加強對建筑工程防火防爆設計的研究,提高設計的安全性。
二.對工業(yè)建筑進行防火防爆設計需考慮的問題。
建筑消防設計是建筑設計中一個重要組成部分,關系到人民生命財產安全,應該引起大家的足夠重視。文章從防火分區(qū)、安全疏散以及防爆泄壓三方面來討論:
(1). 建筑的防火分區(qū)問題。
《建規(guī)》中規(guī)定了廠房及倉庫的的防火分區(qū),其中有一點需要注意,廠房及倉庫的防火分區(qū)首先受該建筑物生產類別影響,其次還和建筑物的耐火等級有關。雖然《建規(guī)》中規(guī)定封閉樓梯間的門為雙向彈簧門就可以了,但做為劃分防火分區(qū)用的封閉樓梯間門至少應設乙級防火門。否則樓梯間也是火災縱向蔓延的途徑之一,也應按上下連通層作為一個防火分區(qū)計算面積。
(2). 安全疏散設計問題。
很多大型工業(yè)建筑在消防安全疏散設計中存在的問題,諸如首層疏散樓梯無法直通室外,設備及管道布置錯綜復雜致使人員逃生路線迂回曲折,疏散距離超過規(guī)范要求等。在設計中應合理設置安全疏散通道,并使疏散通道兩側的隔墻耐火極限≥lh(非燃材料),房間內最遠工作點的疏散距離應考慮設備及管道布置的影響等等。
(3)防爆泄壓應注意的問題
首先,不同用途的廠房有不同的廠房爆炸危險等級,進而根據(jù)規(guī)范采取相應級別的泄壓比。第二,要避免建筑物內有爆炸危險的部位形成長細比過大的空間,以防止爆炸時產生較大超壓,保證所設計的泄壓面積能有效。第三,泄壓方向要避開人員疏散通道及重要設施。
三.工業(yè)廠房防火防爆設計要點。
有爆炸危險的廠房,一旦發(fā)生爆炸,不但會造成房倒人亡,設備摧毀,生產停頓,甚至引起相鄰廠房或設施連鎖爆炸、次生火災。因此,從廠房設計起,就應考慮防爆抗爆措施。消防部門也應加強對此類廠房的審核,嚴格把關,將隱患消滅在源頭。因此在設計爆炸危險廠房時應注意把握以下幾個方面:
1.平面布局設計。
規(guī)模較大的工廠和倉庫,應根據(jù)實際需要,合理劃分生產區(qū)、儲存區(qū)、生產輔助設施區(qū)和行政辦公、生活福利區(qū)等。同一生產企業(yè)內,宜盡量將火災危險性相同或相近的建筑集中布置,以便分別采取防火防爆設施,便于安全管理。在選址時,應注意周圍環(huán)境,充分考慮建廠地區(qū)的企業(yè)和居民安全。注意地勢條件,應根據(jù)產品的性質,優(yōu)先選取有利地形,減少危險性,減少對周圍環(huán)境的火災威脅。注意風向,散發(fā)可燃氣體、可燃蒸汽和可燃粉塵的車間、裝置,應布置在廠區(qū)的全年主導風向的下風向。
2.建筑耐火等級。
建筑物耐火等級。劃分建筑物耐火等級是建筑設計防火規(guī)范中規(guī)定的防火技術措施中最基本的措施。它要求建筑物在火災高溫的持續(xù)作用下,墻、柱、梁、樓板、屋蓋、吊頂?shù)然窘ㄖ嫾?能在一定的時間內不破壞,不傳播火災,從而起到延緩和阻止火災蔓延的作用,并為人員疏散、搶救物資和撲滅火災以及為火災后結構修復創(chuàng)造條件。
3.防火墻和防火門及防火間距。
根據(jù)在建筑物中的位置和構造形式,有與屋脊方向垂直的橫向防火墻、與屋脊方向平行的縱向防火墻、內墻防火墻、外墻防火墻和獨立防火墻等。內防火墻是把廠房或庫房劃分成防火單元,可以阻止火勢在建筑物內的蔓延擴展;外防火墻是鄰近兩幢建筑物的防火間距不足而設置的無門窗洞的外墻,或兩幢建筑物之間的室外獨立防火墻。已采取防火分割的相鄰區(qū)域如需要互相通行時,可在中間設置防火門。按燃燒性能不同有非燃燒體防火門和難燃燒體防火門;按開啟方式不同有平開門和卷簾門等。
火災發(fā)生時,由于強烈的熱輻射、熱對流以及燃燒物質的爆炸飛濺、拋向空中形成飛火,能使鄰近甚至遠處建筑物形成新的起火點。為阻止火勢向相鄰建筑物蔓延擴散,應保證建筑物之間的防火間距。
4.工業(yè)建筑防爆。
在一些工業(yè)建筑中,使用和產生的可燃氣體、可燃蒸氣、可燃粉塵等物質能夠與空氣形成爆炸危險性的混合物,遇到火源就能引起爆炸。這種爆炸能夠在瞬間以機械功的形式釋放出巨大的能量,使建筑物、生產設備遭到毀壞,造成人員傷亡。對于上述有爆炸危險的工業(yè)建筑,為了防止爆炸事故的發(fā)生,減少爆炸事故造成的損失,要從建筑平面與空間布置、建筑構造和建筑設施方面采取防火防爆措施。首先,此類建筑以獨立設置,并宜采用敞開或半敞開式,承重結構多采用鋼筋混凝土或鋼框架、排架結構。第二,要加強與其貼臨建造建筑物的保護,根據(jù)需要將兩者之間的隔墻設置為防火墻或防爆墻。第三,有爆炸危險的甲、乙類廠房(倉庫)應設置足夠有效的泄壓設施,以減少爆炸帶來的損失。當建筑物長細比大于3時,宜將該建筑劃分為長細比小于等于3的多個計算段來計算所需泄壓面積,且各計算段中的公共截面不得作為泄壓面積。另外,位于寒冷及嚴寒地區(qū)的有爆炸危險的建筑物屋頂上所設的泄壓設施還應考慮采取有效防止冰雪積聚的措施。
5. 設置防爆門斗
設置防爆門斗是解決交通和防爆的有力措施,第一道門宜采用防爆門,才能達到防爆的效果。但防爆門均采用特殊鋼材制作,其連接轉動部件和防止門與門框碰撞產生火花,門鉸鏈應采用青銅軸和墊圈或其他摩擦碰撞不發(fā)火材料制作,門扇周邊貼橡膠板,防止碰撞產生火花。防爆門斗內要有一定的容積,保證當門打開時瞬時進入門斗的可燃氣體濃度降低,兩門布置應在不同方位上,間距200以上。防爆門斗也是爆炸危險部位的安全出口,其位置應滿足安全疏散距離的要求。
四.結束語
隨著人們生活水平的提高,對生命財產的安全性要求也在不斷提高。建筑安全保障問題在人們心中的地位越來越高,經濟性建立在安全性的基礎之上,只有保證了建筑結構的安全性,才能夠考慮建筑工程施工的經濟性和適用性。在正常的情況下,建筑工程首先要具備良好的工作性能,進而為社會創(chuàng)造出良好的經濟效益。進而有效提高建筑結構的安全性能,促進建筑工程建設的發(fā)展,促進建筑業(yè)的發(fā)展。
參考文獻:
[1] 李海 防爆防火設計在工業(yè)建筑中的應用 [期刊論文] 《黑龍江科技信息》 -2012年2期
篇9
0 引言
近年來,隨著信息技術的發(fā)展,各行各業(yè)都利用計算機網(wǎng)絡和通訊技術開展業(yè)務工作。廣西百色田陽縣農產品批發(fā)中心利用現(xiàn)代信息技術建有專門的網(wǎng)站,通過網(wǎng)站實施農產品信息、電子支付等商務工作。但是基于互聯(lián)網(wǎng)的電了商務的安全問題日益突出,并且該問題已經嚴重制約了農產品電子商務的進一步發(fā)展。
1 農產品電子商務的安全需求
根據(jù)電子商務系統(tǒng)的安全性要求,田陽農產品電子商務系統(tǒng)需要滿足系統(tǒng)的實體安全、運行安全和信息安全三方面的要求。
1) 系統(tǒng)實體安全
系統(tǒng)實體安全是指保護計算機設備、設施(含網(wǎng)絡)以及其它媒體免遭地震、水災、火災、有害氣體和其它環(huán)境事故(如電磁污染等)破壞的措施和過程。
2) 系統(tǒng)運行安全系統(tǒng)運行安全是指為保障系統(tǒng)功能的安全實現(xiàn),提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急)來保護信息處理過程的安全[1]。項目組在實施項目前已對系統(tǒng)進行了靜態(tài)的風險分析,防止計算機受到病毒攻擊,阻止黑客侵入破壞系統(tǒng)獲取非法信息,因此系統(tǒng)備份是必不可少的(如采用放置在不同地區(qū)站點的多臺機器進行數(shù)據(jù)的實時備份)。為防止意外停電,系統(tǒng)需要配備多臺備用電源,作為應急設施。
3) 信息安全
系統(tǒng)信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或信息被非法的系統(tǒng)標識、控制。系統(tǒng)的核心服務是交易服務,因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性,即保護客戶的私人信息,不被非法竊取。同時系統(tǒng)要具有認證性和完整性,即確保客戶身份的合法性,保證預約信息的真實性和完整性,系統(tǒng)要實現(xiàn)基于角色的安全訪問控制、保證系統(tǒng)、數(shù)據(jù)和服務由合法的客戶、人員訪問防火墻,即保證系統(tǒng)的可控性。在這基礎上要實現(xiàn)系統(tǒng)的不可否認性,要有效防止通信或交易雙方對已進行的業(yè)務的否認論文的格式。
2 農產品電子商和安全策略
為了滿足電子商務的安全要求,電子商務系統(tǒng)必須利用安全技術為電子商務活動參與者提供可靠的安全服務,具體可采用的技術如下:
2.1基于多重防范的網(wǎng)絡安全策略
1) 防火墻技術
防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的,在內部網(wǎng)與外部網(wǎng)之間構造保護屏障。所有內外部網(wǎng)之間的連接都必須經過保護屏障,并在此進行檢查和連接,只有被授權的信息才能通過此保護屏障,從而使內部網(wǎng)與外部網(wǎng)形成一定的隔離,防止非法入侵、非法盜用系統(tǒng)資源,執(zhí)行安全管制機制,記錄可疑事件等。
防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
邊界防火墻(作為阻塞點、控制點)能極大地提高一個內部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡,這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。
2) VPN 技術
VPN 技術也是一項保證網(wǎng)絡安全的技術之一,它是指在公共網(wǎng)絡中建立一個專用網(wǎng)絡,數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線,連接上本地的公眾信息網(wǎng),其分支機構就可以相互之間安全的傳遞信息。同時,企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設備,讓自己的用戶撥號到公眾信息網(wǎng)上,就可以進入企業(yè)網(wǎng)中。使用VPN 技術可以節(jié)省成本、擴展性強、提供遠程訪問、便于管理和實現(xiàn)全面控制,是當前和今后企業(yè)網(wǎng)絡發(fā)展的趨勢。
VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中,要有高強度的加密技術來保護敏感信息;在遠程訪問VPN中要有對遠程用戶可*的認證機制。
性能
VPN要發(fā)展其性能至少不應該低于傳統(tǒng)方法。盡管網(wǎng)絡速度不斷提高,但在Internet時代,隨著電子商務活動的激增,網(wǎng)絡擁塞經常發(fā)生,這給VPN性能的穩(wěn)定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺,管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴格要求和高優(yōu)先級應用的性能防火墻,又不會“餓死”,低優(yōu)先級的應用。
管理問題
由于網(wǎng)絡設施、應用不斷增加,網(wǎng)絡用戶所需的IP地址數(shù)量持續(xù)增長,對越來越復雜的網(wǎng)絡管理,網(wǎng)絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區(qū)分。VPN是公司對外的延伸,因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法,將安全政策進行分布,并管理大量設備論文的格式。
2.2基于角色訪問的權限控制策略
農產品電子商務系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對象,與這些對象有關的用戶數(shù)量也非常多,所以用戶權限管理工作非常重要。
目前權根控制方法很多,我們采用基于RBAC演變的權限制制思路。在RBAC之中,包含用戶、角色、目標、操作、許可權五個基本數(shù)據(jù)元素,權限被賦予角色,而不是用戶,當一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的權限[2]。角色訪問控制策略主要是兩方面的工作:
(1)確定角色
根據(jù)系統(tǒng)作業(yè)流程的任務,并結合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色,低級別角色可以為高級別角色的子角色,高級別角色完全繼承其子角色的權限。
(2)分配權限策略
根據(jù)系統(tǒng)的實際功能結構對系統(tǒng)功能進行編碼,系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權限,以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后,此時角色不發(fā)生沖突,對該角色的權限不能輕易進行修改,以免造成由于修改角色權限從而造成角色發(fā)生沖突。對用戶的權限控制通過功能菜單權限控制或者激活權限控制來具體實現(xiàn)。用戶登陸系統(tǒng)時,系統(tǒng)會根據(jù)用戶的角色的并集,從而得到用戶的權限,由權限得到菜單項對該用戶的可視屬性是true/false,從而得到用戶菜單。
2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略
在農產品商務系統(tǒng)中,數(shù)據(jù)庫系統(tǒng)作為計算機信息系統(tǒng)核心部件,數(shù)據(jù)庫文件作為信息的聚集體,其安全性將是重中之重。
1)數(shù)據(jù)庫加密系統(tǒng)措施
(1)在用戶進入系統(tǒng)進行兩級安全控制
這種控制可以采用多種方式,包括設置數(shù)據(jù)庫用戶名和口令,或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。
2)防止非法復制
對于服務器來說防火墻,可以采用軟指紋技術防止非法復制,當然,權限控制、備份/復制和審計控制也是實行的一樣。
3)安全的數(shù)據(jù)抽取方式
提供兩種卸出和裝入數(shù)據(jù)庫中的加密數(shù)據(jù)的方式:其一是用密文式卸出,這種卸出方式不解密,卸出的數(shù)據(jù)還是密文,在這種模式下,可直接使用DBMS提供的卸出、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密,卸出的數(shù)據(jù)明文,在這種模式下,可利用系統(tǒng)專用工具先進行數(shù)據(jù)轉換,再使用DBMS提供的卸出、裝入工具完成[3]。
3結束語
隨著信息化技術的快速發(fā)展,農產品電子商務創(chuàng)新必須適應新的變化,必須充分考慮信息安全因素與利用信息安全技術,這樣才能實現(xiàn)農產品電子商務業(yè)務快速增長,本文所述的安全策略,對當前實施電子商務有一定效果的,是值得推介應用的。
參考文獻:
[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報(自然科學版),2007,(12):71-73.
[2]唐文龍.基于角色訪問控制在農產品電子商務系統(tǒng)中的應用[j]. 大眾科技.34-35
篇10
從理論上看,防火墻處于網(wǎng)絡安全的最底層,負責網(wǎng)絡間的安全認證與傳輸,但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化,現(xiàn)代防火墻技術已經逐步走向網(wǎng)絡層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務,同時還能為各種網(wǎng)絡應用提供相應的安全服務。盡管如此,事情沒有我們想象的完美,攻擊我們的是人,不是機器,聰明的黑客們總會想到一些辦法來突破防火墻。
一、包過濾型防火墻的攻擊
包過濾技術是一種完全基于網(wǎng)絡層的安全技術,只能根據(jù)Packet的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意入侵。
包過濾防火墻是在網(wǎng)絡層截獲網(wǎng)絡Packet,根據(jù)防火墻的規(guī)則表,來檢測攻擊行為。根據(jù)Packet的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口來過濾。所以它很容易受到如下攻擊。
(一)ip欺騙
如果修改Packet的源,目的地址和端口,模仿一些合法的Packet就可以騙過防火墻的檢測。如:我將Packet中的源地址改為內部網(wǎng)絡地址,防火墻看到是合法地址就會放行。
這種攻擊應該怎么防范呢?
如果防火墻能結合接口,地址來匹配,這種攻擊就不能成功了。
eth1連接外部網(wǎng)絡,eth2連接內部網(wǎng)絡,所有源地址為內網(wǎng)地址的Packet一定是先到達eth2,我們配置eth1只接受來自eth2的源地址為內網(wǎng)地址的Packet,那么這種直接到達eth1的偽造包就會被丟棄。
(二)分片偽造
分片是在網(wǎng)絡上傳輸IP報文時采用的一種技術手段,但是其中存在一些安全隱患。PingofDeath,teardrop等攻擊可能導致某些系統(tǒng)在重組分片的過程中宕機或者重新啟動。這里我們只談談如何繞過防火墻的檢測。
在IP的分片包中,所有的分片包用一個分片偏移字段標志分片包的順序,但是,只有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾防火墻時,防火墻只根據(jù)第一個分片包的Tcp信息判斷是否允許通過,而其他后續(xù)的分片不作防火墻檢測,直接讓它們通過。
工作原理弄清楚了,我們來分析:從上面可以看出,我們如果想穿過防火墻只需要第一個分片,也就是端口號的信息符合就可以了。
那我們先發(fā)送第一個合法的IP分片,將真正的端口號封裝在第二個分片中,那樣后續(xù)分片包就可以直接穿透防火墻,直接到達內部網(wǎng)絡主機,通過我的實驗,觀察攻擊過程中交換的數(shù)據(jù)報片斷,發(fā)現(xiàn)攻擊數(shù)據(jù)包都是只含一個字節(jié)數(shù)據(jù)的報文,而且發(fā)送的次序已經亂得不可辨別,但對于服務器TCP/IP堆棧來說,它還是能夠正確重組的。
二、NAT防火墻的攻擊
這里其實談不上什么攻擊,只能說是穿過這種防火墻的技術,而且需要新的協(xié)議支持,因為這種方法的是為了讓兩個不同NAT后面的p2p軟件用戶可以不通過端口映射直接進行連接,我們稱為UDP打洞技術。
UDP打洞技術允許在有限的范圍內建立連接。STUN(TheSimpleTraversalofUserDatagramProtocolthroughNetworkAddressTranslators)協(xié)議實現(xiàn)了一種打洞技術可以在有限的情況下允許對NAT行為進行自動檢測然后建立UDP連接。在UDP打洞技術中,NAT分配的外部端口被發(fā)送給協(xié)助直接連接的第三方。在NAT后面的雙方都向對方的外部端口發(fā)送一個UDP包,這樣就在NAT上面創(chuàng)建了端口映射,雙方就此可以建立連接。一旦連接建立,就可以進行直接的UDP通信了。
但是UDP連接不能夠持久連接。UDP是無連接的并且沒有對誰明確的通信。一般地,NAT見了的端口映射,如果一段時間不活動后就是過期。為了保持UDP端口映射,必須每隔一段時間就發(fā)送UDP包,就算沒有數(shù)據(jù)的時候,只有這樣才能保持UDP通信正常。另外很多防火墻都拒絕任何的外來UDP連接。
由于各方面原因,這次沒有對建立TCP的連接做研究,估計是能連接的。
三、防火墻的攻擊
防火墻運行在應用層,攻擊的方法很多。這里就以WinGate為例。WinGate是以前應用非常廣泛的一種Windows95/NT防火墻軟件,內部用戶可以通過一臺安裝有WinGate的主機訪問外部網(wǎng)絡,但是它也存在著幾個安全脆弱點。
黑客經常利用這些安全漏洞獲得WinGate的非授權Web、Socks和Telnet的訪問,從而偽裝成WinGate主機的身份對下一個攻擊目標發(fā)動攻擊。因此,這種攻擊非常難于被跟蹤和記錄。
導致WinGate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡的實際情況對WinGate防火墻軟件進行合理的設置,只是簡單地從缺省設置安裝完畢后就讓軟件運行,這就讓攻擊者可從以下幾個方面攻擊:
(一)非授權Web訪問
某些WinGate版本(如運行在NT系統(tǒng)下的2.1d版本)在誤配置情況下,允許外部主機完全匿名地訪問因特網(wǎng)。因此,外部攻擊者就可以利用WinGate主機來對Web服務器發(fā)動各種Web攻擊(如CGI的漏洞攻擊等),同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的,因此,很難追蹤到攻擊者的來源。
檢測WinGate主機是否有這種安全漏洞的方法如下:
(1)以一個不會被過濾掉的連接(譬如說撥號連接)連接到因特網(wǎng)上。
(2)把瀏覽器的服務器地址指向待測試的WinGate主機。
如果瀏覽器能訪問到因特網(wǎng),則WinGate主機存在著非授權Web訪問漏洞。
(二)非授權Socks訪問
在WinGate的缺省配置中,Socks(1080號Tcp端口)同樣是存在安全漏洞。與打開的Web(80號Tcp端口)一樣,外部攻擊者可以利用Socks訪問因特網(wǎng)。
(三)非授權Telnet訪問
它是WinGate最具威脅的安全漏洞。通過連接到一個誤配置的WinGate服務器的Telnet服務,攻擊者可以使用別人的主機隱藏自己的蹤跡,隨意地發(fā)動攻擊。
檢測WinGate主機是否有這種安全漏洞的方法如下:
1)使用telnet嘗試連接到一臺WinGate服務器。
[root@happy/tmp]#telnet172.29.11.191
Trying172.29.11.191….
Connectedto172.29.11.191.
Escapecharacteris''''^]''''.
Wingate>10.50.21.5
2)如果接受到如上的響應文本,那就輸入待連接到的網(wǎng)站。
3)如果看到了該新系統(tǒng)的登錄提示符,那么該服務器是脆弱的。
Connectedtohost10.50.21.5…Connected
SunOS5.6
Login:
其實只要我們在WinGate中簡單地限制特定服務的捆綁就可以解決這個問題。
四、監(jiān)測型防火墻的攻擊
一般來說,完全實現(xiàn)了狀態(tài)檢測技術防火墻,智能性都比較高,普通的掃描攻擊還能自動的反應。但是這樣智能的防火墻也會受到攻擊!
(一)協(xié)議隧道攻擊
協(xié)議隧道的攻擊思想類似與VPN的實現(xiàn)原理,攻擊者將一些惡意的攻擊Packet隱藏在一些協(xié)議分組的頭部,從而穿透防火墻系統(tǒng)對內部網(wǎng)絡進行攻擊。
比如說,許多簡單地允許ICMP回射請求、ICMP回射應答和UDP分組通過的防火墻就容易受到ICMP和UDP協(xié)議隧道的攻擊。Loki和lokid(攻擊的客戶端和服務端)是實施這種攻擊的有效的工具。在實際攻擊中,攻擊者首先必須設法在內部網(wǎng)絡的一個系統(tǒng)上安裝上lokid服務端,而后攻擊者就可以通過loki客戶端將希望遠程執(zhí)行的攻擊命令(對應IP分組)嵌入在ICMP或UDP包頭部,再發(fā)送給內部網(wǎng)絡服務端lokid,由它執(zhí)行其中的命令,并以同樣的方式返回結果。
由于許多防火墻允許ICMP和UDP分組自由出入,因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組,繞過防火墻的認證,順利地到達攻擊目標主機。
(二)利用FTP-pasv繞過防火墻認證的攻擊
FTP-pasv攻擊是針對防火墻實施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1,在監(jiān)視FTP服務器發(fā)送給客戶端的包的過程中,它在每個包中尋找“227”這個字符串。如果發(fā)現(xiàn)這種包,將從中提取目標地址和端口,并對目標地址加以驗證,通過后,將允許建立到該地址的TCP連接。
攻擊者通過這個特性,可以設法連接受防火墻保護的服務器和服務。
五、通用的攻擊方法
(一)木馬攻擊
反彈木馬是對付防火墻的最有效的方法。攻擊者在內部網(wǎng)絡的反彈木馬定時地連接外部攻擊者控制的主機,由于連接是從內部發(fā)起的,防火墻(任何的防火墻)都認為是一個合法的連接,因此基本上防火墻的盲區(qū)就是這里了。防火墻不能區(qū)分木馬的連接和合法的連接。
說一個典型的反彈木馬,目前變種最多有“毒王”之稱的“灰鴿子”,該木馬由客戶端主動連接服務器,服務器直接操控。非常方便。
(二)d.o.s拒絕服務攻擊
簡單的防火墻不能跟蹤tcp的狀態(tài),很容易受到拒絕服務攻擊,一旦防火墻受到d.o.s攻擊,它可能會忙于處理,而忘記了自己的過濾功能。簡單的說明兩個例子。
Land(LandAttack)攻擊:在Land攻擊中,黑客利用一個特別打造的SYN包,它的源地址和目標地址都被設置成某一個服務器地址進行攻擊。此舉將導致接受服務器向它自己的地址發(fā)送SYN-ACK消息,結果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接,每一個這樣的連接都將保留直到超時,在Land攻擊下,許多UNIX將崩潰,NT變得極其緩慢。
IP欺騙DOS攻擊:這種攻擊利用TCP協(xié)議棧的RST位來實現(xiàn),使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。假設現(xiàn)在有一個合法用戶(a.a.a.a)已經同服務器建立了正常的連接,攻擊者構造攻擊的TCP數(shù)據(jù),偽裝自己的IP為a.a.a.a,并向服務器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務器接收到這樣的數(shù)據(jù)后,認為從a.a.a.a發(fā)送的連接有錯誤,就會清空緩沖區(qū)中已建立好的連接。這時,合法用戶a.a.a.a再發(fā)送合法數(shù)據(jù),服務器就已經沒有這樣的連接了,該用戶就被拒絕服務而只能重新開始建立新的連接。
六、結論
我們必須承認以現(xiàn)在的防火墻技術,無法給我們一個相當安全的網(wǎng)絡。網(wǎng)絡中是沒有百分之百安全的,由于我們面對的黑客都屬于聰明的高技術性計算機專家,攻擊時的變數(shù)太大,所以網(wǎng)絡安全不可能單靠防火墻來實現(xiàn),只可能通過不斷完善策略、協(xié)議等根本因素才行。
在防火墻目前還不算長的生命周期中,雖然問題不斷,但是,它也在科學家的苦心經營下不斷自我完善,從單純地攔截一次來自黑客的惡意進攻,逐步走向安全事件管理及安全信息管理的大路,并將最終匯入網(wǎng)絡安全管理系統(tǒng)的大海,這應該是一種歷史的必然。一旦防火墻把網(wǎng)絡安全管理當作自我完善的終極目的,就等同于將發(fā)展的方向定位在了網(wǎng)絡安全技術的制高點,如果成功,防火墻將成為未來網(wǎng)絡安全技術中不可缺少的一部分。
參考文獻:
[1]W.RichardAs.TCP/IP詳解卷一:協(xié)議[M].機械工業(yè)出版社,2000.
[2]黎連業(yè),張維.防火墻及其應用技術[M].北京:清華大學,2004.
篇11
2.防火墻技術。防火墻技術是指網(wǎng)絡之間通過預定義的安全策略,對內外網(wǎng)通信強制實施訪問控制的安全應用措施。防火墻如果從實現(xiàn)方式上來分,又分為硬件防火墻和軟件防火墻兩類,我們通常意義上講的硬防火墻為硬件防火墻,它是通過硬件和軟件的結合來達到隔離內外部網(wǎng)絡的目的,價格較貴,但效果較好,一般小型企業(yè)和個人很難實現(xiàn);軟件防火墻它是通過純軟件的方式來達到,價格很便宜,但這類防火墻只能通過一定的規(guī)則來達到限制一些非法用戶訪問內部網(wǎng)的目的。然而,防火墻也并非人們想象的那樣不可滲透。在過去的統(tǒng)計中曾遭受過黑客入侵的網(wǎng)絡用戶有三分之一是有防火墻保護的,也就是說要保證網(wǎng)絡信息的安全還必須有其他一系列措施,例如:對數(shù)據(jù)進行加密處理。需要說明的是防火墻只能抵御來自外部網(wǎng)絡的侵擾,而對企業(yè)內部網(wǎng)絡的安全卻無能為力,要保證企業(yè)內部網(wǎng)的安全,還需通過對內部網(wǎng)絡的有效控制和來實現(xiàn)。 3.數(shù)據(jù)加密技術。與防火墻配合使用的安全技術還有文件加密與數(shù)字簽名技術,它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部竊取,偵聽或破壞所采用的主要技術手段之一。按作用不同,文件加密和數(shù)字簽名技術主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術四種。數(shù)據(jù)存儲加密技術是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的,可分為密文存儲和存取控制兩種;數(shù)據(jù)傳輸加密技術的目的是對傳輸中的數(shù)據(jù)流加密,常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數(shù)據(jù)內容進行驗證,達到保密的要求,系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設定的參數(shù),實現(xiàn)對數(shù)據(jù)的安全保護。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應用,密匙管理技術事實上是為了數(shù)據(jù)使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。 數(shù)據(jù)加密技術主要是通過對網(wǎng)絡數(shù)據(jù)的加密來保障網(wǎng)絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用于信息鑒別、數(shù)字簽名等技術中,用來防止欺騙,這對信息處理系統(tǒng)的安全起到極其重要的作用。 4.入侵檢測技術。網(wǎng)絡入侵檢測技術也叫網(wǎng)絡實時監(jiān)控技術,它通過硬件或軟件對網(wǎng)絡上的數(shù)據(jù)流進行實時檢查,并與系統(tǒng)中的入侵特征數(shù)據(jù)庫等比較,一旦發(fā)現(xiàn)有被攻擊的跡象,立刻根據(jù)用戶所定義的動作做出反應,如切斷網(wǎng)絡連接,或通知防火墻系統(tǒng)對訪問控制策略進行調整,將入侵的數(shù)據(jù)包過濾掉等。因此入侵檢測是對防火墻有益的補充。可在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,大大提高了網(wǎng)絡的安全性。 5.網(wǎng)絡安全掃描技術。網(wǎng)絡安全掃描技術是檢測遠程或本地系統(tǒng)安全脆弱性的一種安全技術,通過對網(wǎng)絡的掃描,網(wǎng)絡管理員可以了解網(wǎng)絡的安全配置和運行的應用服務,及時發(fā)現(xiàn)安全漏洞,客觀評估網(wǎng)絡風險等級。利用安全掃描技術,可以對局域網(wǎng)絡、Web站點、主機操作系統(tǒng)、系統(tǒng)服務以及防火墻系統(tǒng)的安全漏洞進行服務,檢測在操作系統(tǒng)上存在的可能導致遭受緩沖區(qū)溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統(tǒng)中是否被安裝了竊聽程序、防火墻系統(tǒng)是否存在安全漏洞和配置錯誤。 網(wǎng)絡安全與網(wǎng)絡的發(fā)展戚戚相關,關系著IN-TERNET的進一步發(fā)展和普及。網(wǎng)絡安全不能僅依靠殺毒軟件、防火墻和漏洞檢測等硬件設備的防護,還應注重樹立人的計算機安全意識,才可能更好地進行防護,才能真正享受到網(wǎng)絡帶來的巨大便利。
[參考文獻] [1]顧巧論.計算機網(wǎng)絡安全[M].北京:清華大學出版社,2008.
篇12
計算機網(wǎng)絡是信息社會的基礎,己經進入社會的各個角落。經濟、文化、軍事、教育和社會日常生活越來越多地依賴計算機網(wǎng)絡。但是不容忽略的是網(wǎng)絡本身的開放性、不設防和無法律約束等特點,在給人們帶來巨大便利的同時,也帶來了一些問題,網(wǎng)絡安全就是其中最為顯著的問題之一。計算機系統(tǒng)安全的定義主要指為數(shù)據(jù)處理系統(tǒng)建立和采用的安全保護技術。計算機系統(tǒng)安全主要涉及計算機硬件、軟件和數(shù)據(jù)不被破壞、泄漏等。由此,網(wǎng)絡安全主要涉及硬件、軟件和系統(tǒng)數(shù)據(jù)的安全。
近幾年,隨著計算機網(wǎng)絡的迅速發(fā)展,全國各高校都普遍建立了校園網(wǎng)。校園網(wǎng)成為學校重要的基礎設施。同時,校園網(wǎng)也同樣面臨著越來越多的網(wǎng)絡安全問題。但在高校網(wǎng)絡建設的過程中,普遍存在著“重技術、輕安全”的傾向,隨著網(wǎng)絡規(guī)模的迅速發(fā)展,網(wǎng)絡用戶的快速增長,校園網(wǎng)從早先的教育試驗網(wǎng)的轉變成教育、科研和服務并重的帶有運營性質的網(wǎng)絡。校園網(wǎng)作為數(shù)字化信息的最重要傳輸載體,如何保證校園網(wǎng)絡能正常的運行不受各種網(wǎng)絡黑客的侵害就成為各個高校不可回避的一個緊迫問題,解決網(wǎng)絡安全問題逐漸引起了各方面的重視。
從根本上說,校園計算機網(wǎng)絡系統(tǒng)的安全隱患都是利用了網(wǎng)絡系統(tǒng)本身存在的安全弱點,而系統(tǒng)在使用、管理過程中的失誤和疏漏更加劇了問題的嚴重性。威脅校園網(wǎng)安全的因素主要包括:網(wǎng)絡協(xié)議漏洞造成的威脅,操作系統(tǒng)及應用系統(tǒng)的漏洞造成的威脅,攻擊工具獲取容易、使用簡單,校園網(wǎng)用戶的安全意識不強,計算機及網(wǎng)絡應用水平有限等方面。
關于網(wǎng)絡安全的法律法規(guī)都已出臺,學校網(wǎng)絡中心也制定了各自的管理制度,但是還存在著各種現(xiàn)實問題,宣傳教育的力度不夠,許多師生法律意識淡薄。網(wǎng)上活躍的黑客交流活動,也為網(wǎng)絡破壞活動奠定了技術基礎。這是本論文討論的背景和亟待解決的問題。
二、校園網(wǎng)的安全防范技術
校園網(wǎng)絡的安全是整體的、動態(tài)的,主要有網(wǎng)絡物理安全、系統(tǒng)安全、網(wǎng)絡安全、應用安全等多方面的內容,通過采用防火墻、授權認證、數(shù)據(jù)加密、入侵檢測等安全技術為手段,才有利于更有效地實現(xiàn)校園網(wǎng)絡安全、穩(wěn)定運行。論文將對常用的校園網(wǎng)絡安全技術進行研究。
首先是認證技術,認證技術是網(wǎng)絡通信中建立安全通信信道的重要步驟,是安全信息系統(tǒng)的“門禁”模塊,是保證網(wǎng)絡信息安全的重要技術。認證的主要目的是驗證信息的完整性,確認被驗證的信息在傳遞或存儲過程中沒有被篡改或重組,并驗證信息發(fā)送者的真實性,確認他沒有被冒充。認證技術是防止黑客對系統(tǒng)進行主動攻擊的一種重要技術手段,主要通過數(shù)字信封、數(shù)字摘要、數(shù)字簽名、智能卡和生物特征識別等技術來實現(xiàn)。
第二是密碼技術,目前保障數(shù)據(jù)的安全主要采用現(xiàn)代密碼技術對數(shù)據(jù)進行主動保護,如數(shù)據(jù)保密、雙向身份認證。數(shù)據(jù)完整性等,由此密碼技術是保證信息的安全性的關鍵技術。密碼技術在古代就己經得到相當?shù)膽茫珒H限于外交和軍事等重要領域。隨著計算機技術的迅速發(fā)展,密碼技術發(fā)展成為集數(shù)學、電子與通信、計算機科學等學科于一身的交叉學科。密碼技術不僅能夠保證機密性信息的加密,而且完成了數(shù)字簽名、系統(tǒng)安全等功能。所以,使用密碼技術不僅可以保證信息的機密性,而且可以防止信息被篡改、假冒和偽造。現(xiàn)在密碼技術主要是密碼學。密碼學也是密碼技術的理論基礎,主要包括密碼編碼學和密碼分析學。密碼編碼學主要研究如何對信息進行編碼,以此來隱藏、偽裝信息,通過對給定的有意義的數(shù)據(jù)進行可逆的數(shù)學變換,將其變?yōu)楸砻嫔想s亂無章的數(shù)據(jù),而只有合法的接收者才能恢復原來的數(shù)據(jù),由此保證了數(shù)據(jù)安全。密碼分析學是研究如何破譯經過加密的消息并識別偽造消息。總之,密碼編碼技術和密碼分析技術相互支持、密不可分。
第三是防火墻技術,防火墻是指放置在不同網(wǎng)絡或網(wǎng)絡安全域之間的系列部件的組合。防火墻在不同網(wǎng)絡區(qū)域之間建立起控制數(shù)據(jù)交換的唯一通道,通過允許或拒絕等手段實現(xiàn)對進出內部網(wǎng)絡的服務和訪問的控制。防火墻本身也具有較強的抗攻擊能力,能有效加強不同網(wǎng)絡區(qū)域之間的訪問控制,是提供信息安全服務,實現(xiàn)網(wǎng)絡安全的重要的基礎設施。
第四是入侵檢測系統(tǒng)。網(wǎng)絡安全風險系數(shù)越來越高,防火墻技術己經不能滿足人們對網(wǎng)絡安全的需求。入侵檢測系統(tǒng)作為對防火墻及其有益的補充,不僅能幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,也擴展了系統(tǒng)管理員的安全管理能力,有效提高了信息安全基礎結構的完整性。
三、結語
網(wǎng)絡技術迅速發(fā)展的同時,也帶來了越來越多的網(wǎng)絡安全問題,校園網(wǎng)安全防范的建設更是一項復雜的系統(tǒng)工程,需要相關工作人員予以更多的重視。論文在辨清網(wǎng)絡安全和校園網(wǎng)絡安全的定義的基礎上,從認證技術、密碼技術、防火墻、入侵檢測系統(tǒng)、訪問控制技術、虛擬專用網(wǎng)六個方面分析了校園網(wǎng)安全防范技術,這不僅是理論上的分析,也為網(wǎng)絡安全實踐提供了一定的借鑒。
參考文獻:
[1]蔡新春.校園安全防范技術的研究與實現(xiàn)[J].合肥工業(yè)大學,2009(04).
[2]謝慧琴.校園網(wǎng)安全防范技術研究[J].福建電腦,2009(09).
[3]卜銀俠.校園網(wǎng)安全防范技術體系[J].硅谷,2011(24).
[4]陶甲寅.校園網(wǎng)安全與防范技術[J].電腦知識與技術,2007(01).
[5]袁修春.校園網(wǎng)安全防范體系[D].蘭州:西北師范大學,2005.
篇13
型和監(jiān)測型防火墻技術是一種網(wǎng)絡安全保障手段,是網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網(wǎng)絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網(wǎng)絡遭外界因素的干擾和破壞。防火墻可以是獨立的系統(tǒng),也可以在一個進行網(wǎng)絡互連的路由器上實現(xiàn)防火墻。
用防火墻來實現(xiàn)網(wǎng)絡安全必須考慮防火墻的網(wǎng)絡拓撲結構:屏蔽路由器,又稱包過濾防火墻;雙穴主機,雙穴主機是包過濾網(wǎng)關的一種替代;主機過濾結構,這種結構實際上是包過濾和的結合;屏蔽子網(wǎng)結構,這種防火墻是雙穴主機和被屏蔽主機的變形。根據(jù)防火墻所采用的技術不同,可以將它分為四種基本類型:包過濾型、網(wǎng)絡地址轉換—NAT、型和監(jiān)測型。
1包過濾型
包過濾型產品是防火墻的初級產品,其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術,只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2網(wǎng)絡地址轉化—NAT
網(wǎng)絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。在內部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時,將產生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接,這樣對外就隱藏了真實的內部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內部網(wǎng)絡時,它并不知道內部網(wǎng)絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規(guī)操作即可。
3型
型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發(fā)展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務器,服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內部網(wǎng)絡系統(tǒng)。型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。
